S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 06 novembre 2009
N° CERTA-2009-AVI-481
Affaire suivie par: CERT-FR
le 06 novembre 2009

Avis du CERT-FR

Objet: Vulnérabilités dans Google Chrome

Gestion du document

Référence CERTA-2009-AVI-481
Titre Vulnérabilités dans Google Chrome
Date de la première version 06 novembre 2009
Date de la dernière version 06 novembre 2009
Source(s) Article de sécurité Google Chrome du 05 novembre 2009
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance ;
  • contournement de la politique de sécurité ;
  • atteinte à la confidentialité des données.

Systèmes affectés

Google Chrome 3.x.

Résumé

Deux vulnérabilités découvertes dans Google Chrome permettent à un utilisateur distant malintentionné de provoquer un déni de service, de porter atteinte à la confidentialité des données ou d'exécuter du code arbitraire à distance.

Description

  • Une vulnérabilité présente dans le navigateur Internet Google Chrome peut être exploitée pour contourner la politique de sécurité afin de ne pas afficher de message d'avertissement lors du téléchargement de fichiers au format XML, MHT, SVG, et ainsi exécuter du code arbitraire à distance.
  • La seconde vulnérabilité présente dans le module Gears, permet à un utilisateur distant de corrompre la base de données et provoquer l'arrêt brutal du module.

Solution

Se référer à l'article de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 06 novembre 2009
    version initiale.